SCADA系統在油氣行業應用中存在的安全問題及應對措施

單翔宇

摘要：SCADA系統以其精準采集數據、遠程控制設備、智能調節參數、信號報警等功能優勢，廣泛應用于油氣行業的集注站、集配站的站控系統中。通過采取操作授權、網絡安全防御、加密認證等技術防護措施，最大程度避免系統和設備故障的發生，解決來自于通訊網絡、區域邊界、計算環境等SCADA系統中存在的安全問題，滿足SCADA系統數據采集與監視控制需求，為系統科學全面的進行安全分析提供技術保障。

關鍵詞：SCADA系統;數據安全問題;區域邊界安全防護

通訊網絡擔負著SCADA系統傳輸數據的重要作用，公共通信鏈路數據傳輸缺乏機密性和完整性、通信網絡安全監管與審計防護缺失等易導致通訊網絡被非法入侵。油氣SCADA系統網絡邊界和內部各層間邊界、核心服務器和各類終端、漏洞掃描、運維風險防護等安全防護措施缺失或者不足，均易使計算環境和區域邊界存在安全問題，進而影響SCADA系統的整體運行安全。

1.SCADA系統在油氣行業應用中存在的安全問題

1.1通訊網絡存在安全問題

當SCADA系統的公共通信鏈路缺失安全防護措施時，易導致數據信息在傳輸過程中出現丟失、破損等問題，不僅無法保障數據的完整性、原始性、機密性。而加密技術水平滯后，使系統無法通過通訊網絡控制指令數據，同時缺失鑒別信息和監控數據保密性的控制能力。當通信網絡安全監管與審計無法滿足生產控制行為的異常監測要求，系統無法及時而完整的接收到工控信息網絡反饋的全程錄制分析信息，影響工控網絡行為安全的自動化和智能化運行效果，使通訊網絡存在安全問題。

1.2區域邊界存在安全問題

SCADA系統網絡邊界防護擔負著邊界控制訪問、完整性檢測、入侵防御、安全設計等重要安全防護功能，一旦SCADA系統網絡邊界防護薄弱，在區域邊界受到來自于網絡虛擬空間的非法攻擊時，會出現邊界失控、系統檢測不完整等安全故障問題。SCADA系統內部各層之間的安全防御一旦發生不足或者薄弱，容易出現單點受攻擊后故障擴散到全網的安全風險，使系統整體的訪問路徑控制、入侵檢測與防護、技術隔離、安全審計等能力不佳，未將全網劃分為不同的安全網絡層次，使區域邊界存在安全問題。

1.3計算環境存在安全問題

核心服務器和各類終端一旦無防護措施，在受到非法攻擊、違規操作時將無法進行有效防護。安全風險平度不足容易使SCADA系統存在安全漏洞問題，無法對工業控制系統中的設備、系統進行定期自動化的漏洞掃描，進而使漏洞掃描和風險評估不全面，已知和未知漏洞無法被全部識別，影響系統對工業環境全方位檢測的準確性，使工控系統的風險評估無法發揮出科學參考作用。同時運維人員作為SCADA系統運行安全的直接操作者，一旦無審計措施，出現違規操作、失誤操作等均會導致人為產生的系統安全問題。

2.SCADA系統在油氣行業應用中安全問題的應對措施

2.1部署通訊網絡安全裝置

通過在調度中心安裝終端加密裝置、工控信息安全監控引擎，在門站系統安裝加密認證裝置，可對公共通信鏈路進行加密認證安全防護，使公網有線和無線鏈路傳輸的控制質量、重要數據等都能夠被加密和認證保護，確保數據傳輸過程中的機密性、完整性、原始性，避免數據信息在傳播過程中出現泄漏、破損、丟失、被惡意篡改等不安全問題，而且不影響原有網絡和終端設備的正常配置，兼具安全審計功能，算法和設備安全可靠。利用工控信息安全監控引擎對SCADA系統各服務器進行安全防護，分析系統內部工控協議數據流量，以設定的閾值控制關鍵操作指令，并與終端加密裝置進行聯動防護，可有效減少惡意操作、誤操作等人為因素引發的安全問題，進而解決SCADA系統存在的通訊網絡不安全問題。

2.2部署區域邊界安全防火墻

在區域邊界中部署安全防火墻，能夠有效滿足SCADA系統對網絡邊界的防護需求，杜絕來自網絡虛擬空間的非法攻擊，有效解決區域邊界存在的安全問題。在油氣行業的生產和辦公系統邊界部署網閘，可實現外部網絡的Web服務器與調度中心的SCADA系統各服務器的隔離，以物理隔離方式保障工程師站、操作員站、視頻工作站等各業務站點系統的正常運行，徹底隔離辦公應用區域與調度中心間的網絡連接，防止內部信息被非法竊取，杜絕來自網絡空間對SCADA系統的非法入侵。同時在調度中心與門站系統間部署工業防火墻，使工業以太網/GPRS等廣域網得到邊界安全防護，除物理隔離防護措施以外，利用白名單、規則匹配等安全防護方式，全面而深入的控制網絡出口流量，對各工控協議進行深度檢測、安全控制、高效防護，以保障區域邊界的安全。

2.3部署計算環境安全防護系統

為了有效解決人為操作失誤、非法入侵等安全問題，對核心服務器和各類終端采取部署安全防護系統的措施，提高計算環境安全防護效果，保障SCADA系統在油氣行業應用中的運行安全。重點防護SCADA系統中的歷史和實時數據庫服務器，在其外圍統一部署工業防火墻，深度解析各類總線協議，提高全部數據庫服務器的安全防護水平。在終端安全防護系統中，安裝工控漏洞掃描系統，限制非法操作通過工程師站、操作員站、視頻工作站，利用白名單、規則匹配等安全防護方式，以權威漏洞庫對目標工控系統進行全方位檢測，智能識別系統設備信息，分析已知漏洞和深度挖掘未知漏洞，從操作系統層面限制非法入侵。在門站系統中安裝儀表探針，監聽、解析、處理該區域全部設備和系統的通信信息，一旦發現安全異常，儀表探針會通過信息采集、安全預警、安全態勢評分等自動發出報警和提示，有利于SCADA系統盡快排除故障。部署運維人員身份管理、訪問權限控制、操作審計等安全防護系統，解決操作者權限問題。

結語：SCADA系統在油氣行業應用中，除了以上常見安全問題以外，管理安全也是影響系統運行安全的重要因素。需要針對統一監管需求進行安全防護，對工業集中管理平臺進行總體部署，定期組織相關人員進行信息安全培訓，以事前防御、事中控制、事后審計的原則進行SCADA系統運行安全管理，強化工作人員安全意識，以技術與管理并重的安全問題應對措施，全面保障SCADA系統運行安全。

參考文獻：

[1]張姍姍，胡銘鑒.SCADA系統在油氣行業應用中存在的安全問題及應對策略[J].科技視界，2020（24）：2.

[2]左果.國內油氣SCADA系統信息安全管理問題及防護措施[J].中國儀器儀表，2017（1）：4.